크립토락커 랜섬웨어의 기본 동작 방식과 예방책에 대한 잡담

 

반달가면 이글루에서 백업 - http://bahndal.egloos.com/546987 (2015.4.25)

사용자의 파일을 암호화해 놓고 해독하려면 돈을 내라는 식으로 협박하는 랜섬웨어는 예전부터 돌아다녔지만, 이번에 국내 모 웹사이트를 통해 한글화(-_-;)가 완료된 버전이 유포되는 바람에 좀 더 관심이 가서 동작 방식에 대한 자료를 찾아보았다.

일단 자세하고 구체적인 내용은 아래의 링크를 참고하자. (영문 pdf 파일이다;)

McAfee Labs Threat Advisory - Ransom Cryptolocker

 

웹이나 이메일을 통해 유입된 크립토락커가 PC에서 실행되면, 우선 파일을 AES 알고리즘으로 암호화할 때 사용하기 위한 키(key)를 생성한다. AES 알고리즘은 암호화키와 해독키가 동일하다(symmetric-key encryption).

키가 생성되면 이것을 크립토락커에 내장된 RSA 공개키(public key)를 이용해서 암호화한 후에 C&C서버로 전송한다. RSA 알고리즘은 암호화키(공개키)와 해독키(비밀키)가 다르다(public-key encryption).

AES, RSA 둘 다 제대로 사용할 경우 키를 모르면 해독이 사실상 불가능한 암호화 알고리즘이다. 따라서 일단 감염되면 매우 심각한 상황에 빠지게 된다 -_-;

만약 감염된 사용자가 울며 겨자 먹기로 돈을 지불한다면, 공격자는 C&C서버에 있는 비밀키를 이용해서 AES키를 추출한 후에 사용자 PC로 보내 해독을 해 줄 것이다.

이제 여기서부터 잡담.

사실상 해독 불가능한 암호화 알고리즘을 사용했다는데, 파이어아이(FireEye)나 Fox-IT 같은 보안업체는 어떻게 크립토락커 해독을 위한 웹사이트를 만들어 놓았을까?

아마도 크립토락커의 RSA 비밀키를 입수해서 AES 키를 추출해 가지고 있기 때문일 것이다. 크립토락커를 분석해서 C&C서버를 알아낸 후에, 해킹을 했는지 경찰을 동원해서 압수를 했는지 어떻게 했는지 모르겠지만 어쨌든 C&C서버를 털어서 가져온 것이 아닐까 싶다.

이번에 유포된 크립토락커도 - 공격자에게 돈을 주는 방법을 제외한다면 - C&C서버를 털지 않고서는 해독할 방법이 마땅히 없을 것으로 보인다.

조금 더 잡담을 이어가 보자. 이런 종류의 랜섬웨어를 원천적으로 막을 방법은 딱히 없어 보이긴 하나, 감염 확률을 낮추기 위한 두어가지 예방책을 생각해 볼 수 있겠다. 최신 보안 업데이트 설치라던가 백업 같은 당연한 얘기는 제외한다.

다른 대다수의 악성코드와 마찬가지로, 랜섬웨어의 감염 징후를 인지할 수 있는 지점은 최소한 두군데가 있다. 하나는 C&C서버와의 통신, 나머지 하나는 랜섬웨어가 PC에 계속 남아 있기 위한 작업이다. 둘 중 하나에서만 걸려도 감염을 차단할 여지가 있다는 얘기다.

먼저 C&C서버와의 통신을 생각해 보자. 크립토락커가 유입되어 실행되면 공격자의 서버로 접속을 시도한다. 이 경우 통신은 PC에서 외부로 나가는 방향(아웃바운드)이다. 문제는 윈도우 방화벽의 기본 설정이 아웃바운드 트래픽은 모두 허용한다는 점이다. 사실 기본값이 이렇게 정해진 것도 무리는 아니다. 나가는 방향의 트래픽을 차단할 경우 PC에서 네트워크에 접속하는 어플리케이션마다 허용 규칙을 일일이 다 추가해 주어야 하기 때문에 엄청나게 불편해질 수 있기 때문이다. 그러나 정말 중요한 자료를 다루는 PC라면 불편함을 감수하고서라도 방화벽 정책을 바꾸는 것이 좋겠다.

두번째로 크립토락커가 PC에 계속 남아 있기 위한 작업을 생각해 보자. 크립토락커에 감염되면 파일들이 암호화되고 특정 기간내에 돈을 보내라는 협박 문구가 나온다. 이 특정 기간 동안에 사용자가 PC를 끄지 말라는 법이 없으므로, PC가 재부팅되더라도 크립토락커가 자동실행되어 사용자를 계속 협박할 수 있어야 한다. 이것은 무슨 뜻인가? 크립토락커가 유입되면 십중팔구 윈도우 레지스트리를 변경할 것이라는 뜻이다. 레지스트리 변경은 관리자 권한을 필요로 한다. 표준 사용자 권한을 가진 사용자에 의해 크립토락커가 유입되었다면 권한 상승 과정에서 윈도우의 UAC에 의해 차단되고 관리자 권한을 요구한다는 경고창이 나올 것이다.

추측하건대, 크립토락커 피해자들은 대다수가 윈도우 방화벽을 기본 설정 그대로 사용하고 있으면서 관리자 계정으로 인터넷을 사용하고 있었을 것이다(아니면, 무모하게도 윈도우XP를 아직도 사용하고 있거나 -_-;). 이런 사용 습관은 크립토락커뿐만 아니라 상당수의 악성코드에 대해 침입경로를 열어 주는 계기가 될 수 있다. 악성코드는 변종이 워낙 많기 때문에 백신만 가지고는 한계가 있을 수밖에 없고, PC 사용 습관 자체를 바꾸려는 노력이 반드시 필요하다.